Por: Carolina Pardo
*La autora es la Socia Principal de Competencia y Antimonopolio de Baker McKenzie.
Dentro de las organizaciones, es fundamental establecer roles, implementar políticas claras y socializarlas con empleados y proveedores, a través de entrenamientos y reentrenamientos sobre cómo mitigar, detectar, reportar y manejar incidentes de seguridad.
En la medida en que la economía ha evolucionado hacia la monetización de la data digital, la cual se almacena y procesa en el ciberespacio, no es sorpresivo que los ciberataques también hayan proliferado. Es por esto que las medidas orientadas a la ciberseguridad son requisito esencial dentro de la estrategia empresarial.
Inicialmente, los ataques más comunes eran los virus que afectaban archivos y se propagaban uno a uno en los dispositivos. Con la masificación y velocidad de las comunicaciones, los riesgos también evolucionaron. Hoy se habla de phishing, ransomware y malware y de ataques y riesgos cada vez más sofisticados que pueden paralizar la operación de la empresa, la pérdida de la información, la venta de la información a otros delincuentes, incluso liberándola en algunos casos en el dark web.
La estrategia de defensa debe asumir que los ciberataques van a ocurrir y concentrarse en la mejor forma de abordar el incidente. Las consecuencias de no prepararse para lo que parece ser inevitable, además de operacionales y reputacionales, pueden ser legales. Las organizaciones deben buscar la manera de establecer protocolos que mitiguen los ataques, les permitan crear copias de respaldo para no tener que negociar ante una amenaza de parálisis total y reportar oportunamente a los involucrados y a las autoridades lo ocurrido. Todo esto requiere un plan y medidas que deben revisarse constantemente. Esperar a que ocurra la sorpresa indeseable para tomar acciones resultará en costos y consecuencias demasiado onerosas.
Jurisdicciones como EE.UU, el Reino Unido y la Unión Europea han adoptado modelos de revisión de su normatividad en esta materia generando obligaciones específicas respecto de información particularmente sensible como la relacionada con temas de salud, infraestructura crítica, servicios financieros, entre otros. La regulación en general genera obligaciones de reporte incidentes dentro de tiempos cortos, inclusión de estadísticas y detalle de los incidentes sufridos en un año y medidas de mitigación y remediación. El concepto de ciber – resiliencia es uno que la Unión Europea introdujo recientemente como obligación para los fabricantes de productos que se conecten a Internet y que generen potenciales riesgos a la ciberseguridad. En un mundo conectado, se espera que las medidas de protección sean proporcionales a la vulnerabilidad que esta conexión pueda generar.
En América Latina muchos países han emitido guías de seguridad de los datos y expedido regulaciones que implican obligaciones para quienes están a cargo de la administración de los datos digitales.
En general las disposiciones que se han emitido y las que seguramente seguirán apareciendo, buscan que los responsables de los datos adopten estructuras sólidas para detectar, prepararse y responder a las amenazas e incidentes de seguridad.
Las organizaciones deben estar preparadas para lo que puede ser inevitable. Esto comienza por generar un inventario sobre los datos administrados, su ubicación, su sensibilidad, su interconexión, potenciales riesgos, entre otros. Se deben adoptar medidas adecuadas para detectar y reaccionar en el menor tiempo ante un incidente. Estas medidas incluyen hacer una revisión de la estructura de los terceros con los que se compartan los datos y obtener compromisos apropiados según la sensibilidad de la información a la que accedan.
Dentro de las organizaciones, es fundamental establecer roles, implementar políticas claras y socializarlas con empleados y proveedores, a través de entrenamientos y reentrenamientos sobre cómo mitigar, detectar, reportar y manejar incidentes de seguridad. La simulación de ataques que preparen a las organizaciones a responder a incidentes de seguridad son esenciales, para prepararse ante los impactos que los verdaderos ataques puedan ocasionar.
La responsabilidad por la ciberseguridad en una organización no puede recaer únicamente en el área de tecnología de la información. La estrategia para proteger a las organizaciones contra las amenazas digitales implica tomar medidas integrales que ayuden a anticiparse, que permitan reaccionar rápidamente y remediar las situaciones que generen amenazas. Es un camino largo que debe recorrer toda la organización.
Fuente: Forbes Colombia
